Fildelning inom styrelsen för en BRF

Hej alla kloka!

Jag sitter i styrelsen i min BRF, och har fått i uppgift att ladda upp ett gäng filer och dokument till valfri molnlagringstjänst. Tanken är att alla styrelsemedlemmar enkelt ska komma åt dessa filer. Finns det något man ska tänka på, framförallt gällande GDPR eller andra personuppgiftslagar, eller är det bara att köra?

Spontant tänker jag att google drive är lämpligt, någon som har något bättre alternativ? Jag antar att vi inte är den första BRF:en med detta problem, så därför fiskar jag lite efter input här.

Bra fråga! Först och främst, jag är ingen jurist så vill ni ha 100% korrekt juridisk rådgivning kontakta en sådan.

Inte helt hundra på huruvida regelverket ser annorlunda ut för föreningar, men min misstanke är att det inte gör det så jag kör vidare på det antagandet. Först och främst utgår jag från att ni följer det grundläggande i GDPR och iakttar allt det ni är skyldiga att göra: Grundläggande principer enligt GDPR | IMY

Det viktigaste stycket när det gäller er verksamhet är följande (min fetstil):

När ni behandlar personuppgifter måste ni se till att uppgifterna skyddas på ett bra sätt genom att vidta lämpliga säkerhetsåtgärder.
Alla personuppgifter som ni behandlar måste skyddas, så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Ni ska också se till så att personuppgifter inte förloras eller blir förstörda, till exempel genom olyckshändelser.
Ni måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer.

Hur ni väljer att göra detta är upp till er själva. Är man jurist kan man tolka lagen ännu längre, och väga in t.ex. aspekter som amerikanska Cloud Act som innebär att amerikansk säkerhetstjänst kan begära ut uppgifter som finns i moln hos amerikanska bolag och deras dotterbolag. Den extrema tolkningen är därför att uppgifter hos ex. Google inte är skyddade från (alla) obehöriga.

Som du förstår är det otroligt komplext, och man kan göra det antingen väldigt svårt eller ganska lätt för sig. I slutändan så är det en avvägning ni måste göra. Tänk speciellt på att tidigare styrelsemedlemmar inte skall ha tillgång när styrelsen byts ut.

Den här länken kan nog vara relevant.

Jag jobbar inte med juridik. Jag ser personligen inga problem med Google Drive, det är dock viktigt att bara dem som ska ha åtkomst till filerna har åtkomst till dem. Jag skulle rekommendera att kryptera alla filer och kräva ett lösenord/Autentiseringsapp för avkryptering. Om det går?

Alla användare/konton som har åtkomst till filerna ska ha tvåfaktorsautentisering aktiv.

GDPR handlar väldigt mycket om kontroller. Vilka personuppgifter har vi? Vart ligger dem? Varför? Och hur raderar vi dem när vi inte behöver dem längre? Vem är ansvarig för att se till att vi efterlever GDPR? Har vi haft intrång? Har personuppgifter läckt? I så fall har man ett begränsat tidsfönster på sig att informera berörda personer och Dataskyddsmyndigheten(?) eller vad den nu heter.

Tar och droppar webbsidan: https://boappa.se/

Det är en webbsida, mobilappar, dokumenthantering, nyhetsbrev och chatt mellan era medlemmar och styrelse.

Föreningar som är medlemmar hos Bostadsrätterna använder Boappa gratis.

Kanske ett alternativ?